引言：易發表網憑借豐富的文秘實踐，為您精心挑選了九篇小企業信息安全范例。如需獲取更多原創內容，可隨時聯系我們的客服老師。

第1篇

關鍵詞：信息化信息安全網絡安全

根據國家統計局年初公布的數字顯示，國內企業總體的99％都是中小企業，他們貢獻了超過一半的國內GDP。但截止到目前，這些中小企業的信息化水平仍然比較落后，其中針對信息安全的投人，更是鳳毛麟角。

對于國內占大多數的中小企業來說，如何在充分利用信息化優勢的同時，更好地保護自身的信息資產，已經成為一個嚴峻的挑戰。特別是近兩年來，網絡上的病毒、攻擊事件頻發，信息安全問題正在日益成為中小企業信息化進程中的難題。

一、什么是信息安全

信息是一種資產，與其它重要的資產一樣，它對一個組織而言具有一定的價值，因此需要適當的加以保護，而信息又可以以多種形式存在。如可以打印或者寫在紙上，以數字化的方式存儲，通過郵局郵寄或電子手段發送，表現在膠片上或以談話的方式說出來。總之，信息無論以什么形式存在，以什么方式存儲、傳輸或共享，都應得到恰當的保護。

所謂信息安全是指信息具有如下特征：

安全性：確保信息僅可讓授權獲取的人士訪問；完整性：保護信息和處理方法的準確和完善；可用性：確保授權人需要時可以獲取信息和相應的資產。

信息安全是指使信息避免一系列威脅，保障商務的連續性，最大限度地減少業務的損失，從而最大限度地獲取投資和商務的回報。它主要涉及到信息傳輸的安全、信息存儲的安全、以及網絡傳輸信息內容的審計三個方面，它可以通過實施一整套恰當的措施來獲得。但目前我國的信息安全令人堪憂，隨著政府上網和企業信息化的推進，越來越多的企業的日常業務已經無法脫離網絡和信息技術的支持，那么我國中小企業的信息安全現狀如何呢?

二、我國企業信息安全的現狀

（一）企業的重視程度

隨著信息化的加快，企業信息安全越來越受到重視，而我國的中小企業信息安全現階段正處于初級階段。在推進企業信息化的進程中，有些中小企業對于信息化概念的認識遠遠不夠，它們認為購置幾臺電腦放到公司，日常用來打打字，將單個機器連結到網上企業就信息化了，遠遠沒有認識到信息技術給企業所能帶來的巨大的變化，對于網絡安全更是沒有意識。

據調查，目前國內90％的網站存在安全問題，其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小，不會成為黑客的攻擊目標。如此態度，網絡安全更是無從談起。

（二）資金、技術、人員方面情況

已建立了企業內部信息化平臺的企業，由于資金、技術等方面的原因，還沒有把重點放到網絡安全管理上，尤其是中小企業的安全問題一直隱患重重。

據了解，許多中小企業沒有專門的網絡管理員，一般采用兼職管理方式，這使中小企業的網絡管理在安全性方面存在嚴重的漏洞，與大型企業相比，它們更容易受到網絡病毒的侵害，損失也比較嚴重。

根據IDC對年我國政府、企業用戶的信息安全狀況分析，約有34．8％的企業因內部雇員的行為(包括對內部資源的不合理使用和對內部數據缺乏有效保護)而造成企業出現安全問題。

（三）網絡維護、運行、升級方面的情況

在網絡的維護、運行、升級等事務性工作方面，由于工作繁重而且成本較高，一些善于精打細算的中小企業在防范黑客及病毒方面舍不得投入，據相關調查數據資料統計，國內七成以上的中小企業，一是缺乏基本的企業防毒知識，購買一些單機版防毒產品來防護整個企業網絡的安全。二是采購了并不適合自身網絡系統的企業防毒產品，因此留下許多安全隱患。三是技術力量薄弱，雖然部署了企業防毒產品，但是這些產品操作難度大、使用復雜，最終導致很難全面發揮效用，甚至成了擺設，這樣一來企業內部網絡就根本沒有什么安全而言。

三、如何保證我國中小企業的信息安全

（一）從企業的自身情況考慮

要解決中小企業網絡信息安全問題，不能僅依靠企業的安全設施和網絡安全產品，而應該考慮如何提高企業自身的網絡安全意識，將信息安全問題提升到重視的高度，要重視“人”的因素。具體表現在以下兩個方面：

1．提高安全認識

定期對企業員工進行網絡安全教育培訓深化企業的全員信息安全意識，企業管理層要制定完整的信息安全策略并貫徹執行，對安全問題要做到預先考慮和防備。

2．要求中小企業在上網的過程中要做到“一做三不要”

（1）將存有重要數據的電腦堅決同網絡隔離，同時設置開機密碼，并將軟驅、硬盤加密鎖定，進行三級保護。

（2）不要在自己的系統之內使用任何具有記憶命令的程序，因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切。

（3）不在網上的任何場合下隨意透露自己企業的任何安全信息。

（4）不要啟動系統資源共享功能，最后要盡量減少企業資源暴露在外部網上的機會和次數，減少黑客進攻的機會。

（二）從網絡安全角度考慮

1．從網絡安全服務商的角度來說，服務商要重視中小企業對網絡安全解決方案的需要，充分考慮中小企業的現實狀況，仔細調查和分析中小企業的安全因素，開發出適合中小企業實際情況的網絡安全綜合解決方案。此外，還應該注意投入大量精力在安全策略的施行及安全教育的開展方面，這樣才能為中小企業信息安全工作的順利開展提供堅實的保證。

2．要用防火墻將企業的局域網(Intranet)與互聯網之間進行隔離。由于網絡攻擊不斷升級，對應的防火墻軟件也應該及時跟著升級，這樣就要求我們企業的網管人員要經常到有關網站上下載最新的補丁程序，以便進行網絡維護，同時經常掃描整個內部網絡，以發現任何安全隱患并及時更改，才能做到有備無患。

3．企業用戶最好自己學會如何調試和管理自己的局域網系統，不要經常請別人來協助管理。中小企業要培養自己解決安全問題的能力，提高自己的信息安全技術。如果缺乏這方面的人才就應該去引進或者培養相關人才。

4．內部網絡系統的密碼要定期修改。

由于許多黑客利用窮舉法來破解密碼，像John這一類的密碼破解程序可從因特網上免費下載，只要加上一個足夠大的字典在足夠快的機器上沒日沒夜地運行，就可以獲得需要的賬號及密碼，因此，經常修改密碼對付這種盜用就顯得十分奏效。當然，設定密碼也有很深的學問，只有隨意性強、有足夠的長度并及時更新的密碼才能算是比較安全的密碼。

5．要經常使用殺毒軟件來維護局域網系統不受病毒攻擊。現在國內的殺毒軟件都推出了清除某些特洛伊木馬的功能，可以不定期地在脫機的情況下進行檢查和清除。另外，有的殺毒軟件還提供網絡實時監控功能，這一功能可以在黑客從遠端執行用戶機器上的文件時，提供報警或讓執行失敗，使黑客向用戶機器上載可執行文件后無法正確執行，從而避免了進一步的損失。

6．同其它企業進行聯合，共同抵制黑客的入侵，一旦被入侵要及時向有關部門匯報，并共同查找入侵來源，鎖定黑客IP地址。將網絡的TCP起時限制在15分鐘以內，減少黑客入侵的機會。并擴大連接表，增加黑客填寫整個連接表的難度。

四、結束語

第2篇

（一）信息化安全認知匱乏

在我國，大多數中小企業信息建設管理中存在著明顯的認知不足，全球聯系的增強和市場的激烈競爭促使中小企業認識到了信息化建設的重要性，但是缺少足夠的信息安全管理認知，日常安全管理工作過于疏忽，沒有形成科學有效地安全管理體制，作為重要保護對象。中小企業內部不同的信息需要不同的方式進行安全管理，由于企業對于信息安全管理的重視程度不夠，針對安全管理投入力度難以形成有效的安全體系，無法保證信息安全。

（二）信息化安全管理制度不夠完善

由于我國信息化建設起步較晚，我國中小企業相較于西方發達國家信息建設程度還有所欠缺。企業內部對于信息安全管理缺乏科學的規章制度，難以做到信息合理有效的安全防護。安全管理制度的不完善導致了各項制度之間出現混淆，安全職責定位不夠明確，安全問題出現無從追求，這種現象在中小企業信息泄露中時有發生。

（三）缺乏相關技術人才

大部分中小企業由于對信息安全管理重視程度不夠，投入力度較輕，導致安全管理出現盲區。信息安全建設過程中對于相關人才的培養力度不夠，企業內部缺少專門的技術人才對安全管理盲區予以修復，進而導致信息泄露。

二、中小企業信息化安全管理完善措施

（一）強化信息安全意識

企業信息安全是企業健康平穩發展的基礎，由此中小企業內部每個員工都應該予以承擔相應的義務和責任。強化員工對于信息安全的意識，相比于技術安全更值得重視。所以，企業內部必須強化員工信息安全意識，營造內部良好的安全意識氛圍，提升員工信息安全防護能力。

（二）完善安全管理制度

有效地安全措施離不開科學的安全管理制度，企業需要強化制度建設力度，做到安全管理有章可循，對于企業內部用戶相關信息權限予以限制，明確，減少個人操作可能引發的信息泄露風險。在企業不斷發展的過程中，制度應隨著企業發展而創新升級，以滿足企業發展的需要。

（三）重點培養信息安全管理人才

任何一個企業發展的根本動力都是人才的支持，優秀的人才能夠促進企業內部穩定，工作效率提升，企業發展收益增強。在企業發展過程中，安全管理盲區需要相應的技術人員進行定期檢查，維護，針對存在的安全隱患及時有效地解決，規避風險的發生。

三、結論

第3篇

 

關鍵詞：信息化　信息安全　網絡安全

根據國家統計局年初公布的數字顯示，國內企業總體的99％都是中小企業，他們貢獻了超過一半的國內GDP。但截止到目前，這些中小企業的信息化水平仍然比較落后，其中針對信息安全的投人，更是鳳毛麟角。

對于國內占大多數的中小企業來說，如何在充分利用信息化優勢的同時，更好地保護自身的信息資產，已經成為一個嚴峻的挑戰。特別是近兩年來，網絡上的病毒、攻擊事件頻發，信息安全問題正在日益成為中小企業信息化進程中的難題。

一、什么是信息安全

信息是一種資產，與其它重要的資產一樣，它對一個組織而言具有一定的價值，因此需要適當的加以保護，而信息又可以以多種形式存在。如可以打印或者寫在紙上，以數字化的方式存儲，通過郵局郵寄或電子手段發送，表現在膠片上或以談話的方式說出來。總之，信息無論以什么形式存在，以什么方式存儲、傳輸或共享，都應得到恰當的保護。

所謂信息安全是指信息具有如下特征：

安全性：確保信息僅可讓授權獲取的人士訪問；完整性：保護信息和處理方法的準確和完善；可用性：確保授權人需要時可以獲取信息和相應的資產。

信息安全是指使信息避免一系列威脅，保障商務的連續性，最大限度地減少業務的損失，從而最大限度地獲取投資和商務的回報。它主要涉及到信息傳輸的安全、信息存儲的安全、以及網絡傳輸信息內容的審計三個方面，它可以通過實施一整套恰當的措施來獲得。但目前我國的信息安全令人堪憂，隨著政府上網和企業信息化的推進，越來越多的企業的日常業務已經無法脫離網絡和信息技術的支持，那么我國中小企業的信息安全現狀如何呢?

二、我國企業信息安全的現狀

(一)企業的重視程度

隨著信息化的加快，企業信息安全越來越受到重視，而我國的中小企業信息安全現階段正處于初級階段。在推進企業信息化的進程中，有些中小企業對于信息化概念的認識遠遠不夠，它們認為購置幾臺電腦放到公司，日常用來打打字，將單個機器連結到網上企業就信息化了，遠遠沒有認識到信息技術給企業所能帶來的巨大的變化，對于網絡安全更是沒有意識。

據調查，目前國內90％的網站存在安全問題，其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小，不會成為黑客的攻擊目標。如此態度，網絡安全更是無從談起。

(二)資金、技術、人員方面情況

已建立了企業內部信息化平臺的企業，由于資金、技術等方面的原因，還沒有把重點放到網絡安全管理上，尤其是中小企業的安全問題一直隱患重重。

據了解，許多中小企業沒有專門的網絡管理員，一般采用兼職管理方式，這使中小企業的網絡管理在安全性方面存在嚴重的漏洞，與大型企業相比，它們更容易受到網絡病毒的侵害，損失也比較嚴重。

根據IDC對2005年我國政府、企業用戶的信息安全狀況分析，約有34．8％的企業因內部雇員的行為(包括對內部資源的不合理使用和對內部數據缺乏有效保護)而造成企業出現安全問題。

(三)網絡維護、運行、升級方面的情況

在網絡的維護、運行、升級等事務性工作方面，由于工作繁重而且成本較高，一些善于精打細算的中小企業在防范黑客及病毒方面舍不得投入，據相關調查數據資料統計，國內七成以上的中小企業，一是缺乏基本的企業防毒知識，購買一些單機版防毒產品來防護整個企業網絡的安全。二是采購了并不適合自身網絡系統的企業防毒產品，因此留下許多安全隱患。三是技術力量薄弱，雖然部署了企業防毒產品，但是這些產品操作難度大、使用復雜，最終導致很難全面發揮效用，甚至成了擺設，這樣一來企業內部網絡就根本沒有什么安全而言。

三、如何保證我國中小企業的信息安全

(一)從企業的自身情況考慮

要解決中小企業網絡信息安全問題，不能僅依靠企業的安全設施和網絡安全產品，而應該考慮如何提高企業自身的網絡安全意識，將信息安全問題提升到重視的高度，要重視“人”的因素。具體表現在以下兩個方面：

1．提高安全認識

定期對企業員工進行網絡安全教育培訓深化企業的全員信息安全意識，企業管理層要制定完整的信息安全策略并貫徹執行，對安全問題要做到預先考慮和防備。

2．要求中小企業在上網的過程中要做到“一做三不要”

(1)將存有重要數據的電腦堅決同網絡隔離，同時設置開機密碼，并將軟驅、硬盤加密鎖定，進行三級保護。

(2)不要在自己的系統之內使用任何具有記憶命令的程序，因為這些程序不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發生的一切。

(3)不在網上的任何場合下隨意透露自己企業的任何安全信息。

(4)不要啟動系統資源共享功能，最后要盡量減少企業資源暴露在外部網上的機會和次數，減少黑客進攻的機會。

(二)從網絡安全角度考慮

1．從網絡安全服務商的角度來說，服務商要重視中小企業對網絡安全解決方案的需要，充分考慮中小企業的現實狀況，仔細調查和分析中小企業的安全因素，開發出適合中小企業實際情況的網絡安全綜合解決方案。此外，還應該注意投入大量精力在安全策略的施行及安全教育的開展方面，這樣才能為中小企業信息安全工作的順利開展提供堅實的保證。

2．要用防火墻將企業的局域網(Intranet)與互聯網之間進行隔離。由于網絡攻擊不斷升級，對應的防火墻軟件也應該及時跟著升級，這樣就要求我們企業的網管人員要經常到有關網站上下載最新的補丁程序，以便進行網絡維護，同時經常掃描整個內部網絡，以發現任何安全隱患并及時更改，才能做到有備無患。

3．企業用戶最好自己學會如何調試和管理自己的局域網系統，不要經常請別人來協助管理。中小企業要培養自己解決安全問題的能力，提高自己的信息安全技術。如果缺乏這方面的人才就應該去引進或者培養相關人才。

4．內部網絡系統的密碼要定期修改。

第4篇

    在企業的管理信息系統中有眾多的企業文件在流轉,其中肯定有重要性文件,有的甚至涉及到企業的發展前途,如果這些信息在通用過網絡傳送時被競爭對手或不法分子竊聽、泄密、篡改或偽造,將會嚴重威脅企業的發展,所以,中小企業電子信息安全技術的研究具有重要意義。

    一、中小企業的信息化建設意義

    在這個網絡信息時代,企業的信息化進程不斷發展,信息成了企業成敗的關鍵,也是管理水平提高的重要途徑。如今企業的商務活動,基本上都采用電子商務的形式進行,企業的生產運作、運輸和銷售各個方面都運用到了信息化技術。如通過網絡收集一些關于原材料的質量,價格,出產地等信息來建立一個原材料信息系統,這個信息系統對原材料的采購有很大的作用。通過對數據的分析,可以得到跟多的采購建議和對策,實現企業電子信息化水準。有關調查顯示,百分之八十二的中小企業對網站的應還處于宣傳企業形象,產品和服務信息,收集客戶資料這一階段,而電子商務這樣關系到交易的應用還不到四分之一,這說明企業還未充分開發和利用商業渠道信息。中小企業信息化時代已經到來,企業應該加快信息化的建設。

    二、電子信息安全技術闡述

    1、電子信息中的加密技術

    加密技術能夠使數據的傳送更為安全和完整,加密技術分為對稱和非對稱加密兩種。其中對稱加密通常通過序列密碼或者分組機密來實現,包括明文、密鑰、加密算法以及解密算法等五個基本組成成分。非對稱加密與對稱加密有所不同,非對稱加密需要公開密鑰和私有密鑰兩個密鑰,公開密鑰和私有密鑰必須配對使用,用公開密鑰進行的加密,只有其對應的私有密匙才能解密。用私有密鑰進行的加密,也只有用其相應的公開密鑰才能解密。

    加密技術對傳送的電子信息能夠起到保密的作用。在發送電子信息時,發送人用加密密鑰或算法對所發的信息加密后將其發出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無法理解的。接受著可以利用解密密鑰將密文解密,恢復成明文。

    2、防火墻技術

    隨著網絡技術的發展,一些郵件炸彈,病毒木馬和網上黑客等對網絡的安全也造成了很大的威脅。企業的信息化使其網絡也遭到同樣的威脅,企業電子信息的安全也難以得到保證。針對網絡不安全這種狀況,最初采取的一種保護措施就是防火墻。在我們的個人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等。

    3、認證技術

    消息認證和身份認證是認證技術的兩種形式,消息認證主要用于確保信息的完整性和抗否認性,用戶通過消息認證來確認信息的真假和是否被第三方修改或偽造。身份認證使用與鑒別用戶的身份的,包括識別和驗證兩個步驟。明確和區分訪問者身份是識別,確認訪問者身份叫驗證。用戶在訪問一些非公開的資源時必須通過身份認證。比如訪問高校的查分系統時,必須要經過學號和密碼的驗證才能訪問。高校圖書館的一些資源要校園網才能進行訪問,非校園網的不能進入,除非付費申請一個合格的訪問身份。

    三、中小企業中電子信息的主要安全要素

    1、信息的機密性

    在今天這個網絡時代,信息的機密性工作似乎變得不那么容易了,但信息直接代表著企業的商業機密,如何保護企業信息不被竊取,篡改,濫用以及破壞,如何利用互聯網進行信息傳遞又能確保信息安全性已成為各中小企業必須解決的重要問題。

    2、信息的有效性

    隨著電子信息技術的發展,各中小企業都利用電子形式進行信息傳遞,信息的有效性直接關系的企業的經濟利益,也是個企業貿易順利進行的前提條件。所以要排除各種網絡故障、硬件故障,對這些網絡故障帶來的潛在威脅加以控制和預防,從而確保傳遞信息的有效性。

    3、信息的完整性

    企業交易各方的經營策略嚴重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對交易各方都是非常重要的。在對信息的處理過程中要預防對信息的隨意生成、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業之間進行交易的基礎。

    四、解決中小企業中電子信息安全問題的策略

    1、構建中小企業電子信息安全管理體制

    解決信息安全問題除了使用安全技術以外,還應該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進行。在一般中小企業中,最初建立的相關信息管理制度在很大程度上制約著一個信息系統的安全。如果安全管理制度出了問題,那么圍繞著這一制度來選擇和使用安全管理技術及手段將無法正常進行,信息的安全性就得不到保證。完善,嚴格的電子信息安全管理制度對信息系統的安全影響很大。在企業信息系統中,如果沒有嚴格完善的信息安全管理制度,電子信息安全技術和相關的安全工具是不可能發揮應有的作用的。

    2、利用企業的網絡條件來提供信息安全服務

    很多企業的多個二級單位都在系統內通過廣域網被聯通, 局域網在各單位都全部建成,企業應該利用這種良好的網絡條件來為企業提供良好的信息安全服務。通過企業這一網絡平臺技術標準,安全公告和安全法規,提供信息安全軟件下載,安全設備選型,提供在線信息安全教育和培訓,同時為企業員工提供一個交流經驗的場所。

    3、定期對安全防護軟件系統進行評估、改進

    隨著企業的發展,企業的信息化應用和信息技術也不斷發展,人們對信息安全問題的認識是隨著技術的發展而不斷提高的,在電子信息安全問題不斷被發現的同時,解決信息安全問題的安全防護軟件系統也應該不斷的改進,定期對系統進行評估。

    總之,各中小企業電子星系安全技術包含著技術和管理,以及制度等因素,隨著信息技術的不斷發展,不僅中小企業辦公室逐漸趨向辦公自動化,而且還確保了企業電子信息安全。

    參考文獻:

    [1]溫正衛;信息安全技術在電子政務系統中的應用[J];軟件導刊,2010

    [2]閆兵;企業信息安全概述及防范[J];科學咨訊,2010

第5篇

關鍵詞：中小企業；網絡安全；企業網絡；架構

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 20-0000-02

1 中小型企業網絡安全

1.1 中小型企業網絡安全概念。國際組織（ISO）對網絡安全規定為在網絡間進行數據處理系統建立是所采取的相應的安全技術，這些技術可以對網絡進行時時監控和安全，并保證不讓任何人使用的程序通過網絡來進行計算機，并始終通過網絡有效的保證計算機算硬件的安全，不通過網絡泄露個人或者企業等單位的秘密。以此我們可以這樣理解中小型企業網絡安全為是通過采用各種高科技技術和一定的管理措施，使的中小企業網絡系統能夠進行正常運作，進而來保證中小企業網絡數據的可用性、完整性和保密性。

1.2 中小型企業網絡職能。一個安全的中小企業網絡職能應該是具有一定的可靠性、可用性、完整性、保密性和真實性等的。中小企業網絡的安全不僅要保護企業內部的計算機網絡設備的安全和計算機網絡系統安全，更重要的是要對企業數據安全的保護。所以對于一個中小型企業來說網絡安全最終的職能就是保護企業重要的信息數據。

2 中小型企業信息網絡安全的困惑

2.1 中小企業信息網絡操作系統安全的困惑。中小型企業經常出現的困惑就是針對信息網絡操作時出現的安全困惑，所謂中小型企業信息網絡操作系統安全就是指通常是指進行信息網絡操作系統的安全。操作系統的某一合法用戶可任意運行一段程序來修改該用戶擁有的文件訪問控制信息，而操作系統無法區別這種修改是用戶自己的合法操作還是計算機病毒的非法操作；另外，也沒有什么一般的方法能夠防止計算機病毒將信息通過共享客體從一個進程傳送給另一個進程。為此，中小型企業認識到必須采取更強有力的訪問控制手段，這就是強制訪問控制。在強制訪問控制中，系統對主體與客體都分配一個特殊的一般不能更改的安全屬性，系統通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。中小型企業為某個目的而運行的程序，不能改變它自己及任何其它客體的安全屬性，包括該用戶自己擁有的客體。強制訪問控制還可以阻止某個進程生成共享文件并通過這個共享文件向其它進程傳遞信息。目前來說中小型企業的信息網絡操作系統多為Windows和UNIX操作系統，這些操作系統本身就有自身的網絡安全漏洞，因為操作系統本身都是有后門的，而這些后門和安全漏洞都將存在重大的信息網絡安全隱患，造成中小企業信息網絡的安全困惑。所以這就要求在進行中小型企業信息網絡系統安裝時，不只要考慮到企業的自身需求，更多的時候要考慮到中小型企業的信息網絡安全，不能因為系統的安裝造成過大的中小型企業信息安全的困惑。

2.2 中小企業信息網絡應用安全的困惑。現階段我國的中小型企業網絡安全應用僅網絡系統就存在很大的安全隱患，系統、應用和數據的安全存在較大的風險。目前，實施的安全方案是基于當時的認識進行的，主要工作集中于網絡安全，對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證，對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段，很容易被冒充；又如數據備份缺乏整體方案和制度規范，容易造成重要數據的丟失和泄露。當時的網絡安全的基本是一種外部網絡安全的概念，是基于這樣一種信任模型的，即網絡內部的用戶都是可信的。在這種信任模型下，假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部，并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。針對外部網絡安全，人們提出了內部網絡安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設所有用戶都可能對信息安全造成威脅，并且可以各種更加方便的手段對信息安全造成威脅，比如內部人員可以直接對重要的服務器進行操控從而破壞信息，或者從內部網絡訪問服務器，下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。美國聯邦調查局（FBI）和計算機安全機構（CSI）等權威機構的研究也證明了這一點：超過80%的信息安全隱患是來自組織內部，這些隱患直接導致了信息被內部人員所竊取和破壞。信息系統的安全防范是一個動態過程，某公司缺乏相關的規章制度、技術規范，也沒有選用有關的安全服務。不能充分發揮安全產品的效能。

2.3 中小企業信息網絡管理安全的困惑。中小型企業信息網絡管理方面存在的安全困惑主要包括了，中小型企業的內部管理人員們或者是員工們圖方便省事，對自身的計算機不進行密碼的設置，沒用自己的用戶口令，或者是有些管理者和員工設置的密碼和口令過短或者是過于簡單，這樣就導致密碼和口令很容易被破解，這樣來當出現了信息網絡的安全問題時，容易責任不清，并且很難一下就找到問題出現的計算機，因為整個公司都使用相同的用戶名和口令，使得整體信息網絡的管理出現嚴重的混亂，并且容易出現企業重要信息的泄密。進行中小型企業信息網絡管理是信息網絡安全的重要組成部分，是能保證中小型企業信息網絡安全的重要組成部分，是可以對外來病毒進行防止的重要環節，是中小型企業內部信息網絡不被入侵必須的部分。也是中小型企業信息網絡暗中的管理困惑，是普遍中小型企業都會存在的困惑之一。

3 如何進行中小型企業信息網絡安全的架構

3.1 中小型企業信息網絡安全架構Internet的接入。中小型企業信息網絡安全構架中Internet的接入，多是采用了PIX515作為外部邊緣得防火墻設備，中小型企業內部的用戶登錄則是通過互聯網時會經過NetEye防火墻，然后再由PIX映射到互聯網。PIX與NetEye之間形成了DMZ映射區，這是一種需要進行提供互聯網服務的郵件服務和Web服務器等防止在該DMZ區內。中小型企業進行此防火墻的安全策略步驟是：首先要從Internet上設置只能訪問到DMZ內Web服務器的80端口和郵件服務器的25端口，其次，則是要從Internet和DMZ區設定出不能進行訪問內部網任何資源，最后則是要從Internet進行訪問內部網資源的時候只能通過VPN系統進行。

3.2 中小型企業信息網絡安全架構用戶的認證。中小型企業信息網絡安全架構的用戶認證系統主要就是用于解決通過電話進行撥號時出現的安全問題和通過VPN進行接入時出現的安全問題，信息網絡安全架構的用戶認證系統是目前為止運用最為完善的系統用戶認證系統、訪問控制系統和使用審計系統方面的功能來增強信息網絡系統的安全性，并采用了目前為止最為高端的ACS用戶認證系統。中小型企業的ERP系統一般采用C/S（客戶機/服務器）體系結構，架構于企業內網Intranet上。通常，VPN是對企業內部網的擴展，通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸；VPN還可用于不斷增長的移動用戶的全球互聯網接入，以實現安全連接；可用于實現企業網站之間安全通信的虛擬專用線路。在信息網絡的主域服務器上安裝Radius服務器，在Cisco撥號路由器和PIX防火墻上配置了Radius客戶端。這樣當任何人進行電話撥號和VPN用戶身份認證時，就會在Radius的服務器上直接進行，這樣一來用戶賬號就會集中的在主域服務器上進行開設。這樣做就可以在系統中設置較為嚴格的用戶訪問策略和口令策略，能有效的強制使用用戶進行定期的口令修改。

綜上所述，中小型企業信息網絡安全保障是開展其它一切業務往來與技術交流的關鍵，要想企業長足發展，必須重視信息網絡安全的構建。

參考文獻：

第6篇

關鍵詞：信息安全；加密方法；加密軟件

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)19-30003-01

1 正確認識中小企業信息安全重要性

信息時代，企業的正常運作離不開信息資源的支持，這包括企業的經營計劃、知識產權、生產工藝、流程配方、方案圖紙、客戶資源以及各種重要數據等，這些都是企業全體員工努力拼搏、刻苦鉆研、殫精竭慮、長期積累下來的智慧結晶，是企業發展的方向和動力，關乎著企業的生存與發展，企業的重要信息一旦被泄露會使企業頓失市場競爭優勢，甚至會遭受滅頂之災。因此，企業要保持健康可持續性發展，信息安全是基本的保證之一。

2 危害中小企業信息安全的罪魁禍首

在媒體的宣傳下，病毒、木馬、蠕蟲、黑客已經成為危害信息安全的罪魁禍首，但是據信息專家論證，對計算機系統造成重大破壞的往往不是它們，而是組織內部人員有意或無意對信息的窺探或竊取。未來安全問題不再是過去簡簡單單的一個病毒或者一個黑客，它將朝著更多元化的方向發展，對于中小企業而言，無論是數據失竊、郵件泄密、打印泄密、還是網絡癱瘓，也許都將是一次徹底的毀滅。

3 哪些信息需要保密

一般而言，中小企業發生數據泄露事件的一個主要原因，是他們不知道自己的敏感信息和機密商業信息位于網絡或企業系統中的位置。由于缺乏這種了解，加上數據存儲方面的控制措施不到位，數據泄露變成了重大威脅。另外，這種危險并不僅僅出現在企業的網絡上，還出現在員工和合作伙伴的筆記本電腦及其他便攜存儲設備上。許多組織越來越擔心遇到數據泄密事件。據調查分析，知識產權、商業機密信息、客戶及消費者數據，以及員工數據成為面臨風險最大的四種數據，當然 也是最需要保密的數據。一般而言，自主研發型的企業產品研發部門是最需要進行電子數據加密的，而其他企業根據經營特點的不同，也可能把營銷部門或財務部門等其他部門列為數據安全保護的重點部門。

4 如何選擇適合的加密方法

總的來說，目前市場上有如下幾種主流的加密方式：

一種是文件夾加密，主要是提供給單個用戶使用，對放置機密文件的文件夾進行加密，打開時需要輸入密碼，此種加密軟件多為個人或軟件工作室制作，并不穩定，建議慎重使用，一旦重要資料加密后無法打開問題就比較嚴重了。

第二種就是我們常說的透明加密，這種加密方式的特點在于：不影響正常工作，而密文一旦脫離加密環境就無法打開，可以說是當前一種比較嚴密的數據保護方法。

第三種是USB接口加密，就是屏蔽USB設備或綁定USB存儲設備，對于綁定以外的USB設備無法識別。雖然這種方式不是嚴格意義上的數據加密，但因其原理簡單，對系統底層接觸較小，出問題的幾率比較小，所以應用范圍也很廣泛。

對于企業用戶我們推薦使用第二種方式，第三種方式雖然也可以，但其硬盤上的資料為明文，一旦硬盤被竊用，或文件通過網絡的方式傳遞出去，也很容易造成泄密。從數據的嚴格安全性上考慮，可以選擇第二種和第三種加密方法同時使用。

5 如何選擇合適的加密軟件

那么如何選擇加密軟件，尤其是透明加密類型的軟件呢？首先，一定不要當實驗品。很多加密軟件公司都是剛剛起步，或者剛剛涉足數據加密領域，其產品雖可能與其他軟件公司的產品原理相同，功能類似，但其中的Bug一定很多。對于透明數據加密軟件，一旦出現問題，計算機上的文件都會無法打開，或者某個文件被破壞永久無法打開，這對正常工作的影響是很大的。所以，我們在選擇透明加密產品之前一定要弄清楚該公司此款軟件的研發時間，第一個版本的上市時間，目前的軟件版本，其客戶有哪些，并最好能對其客戶進行電話或訪問調研。

其次，一定要考察好該公司的售后服務情況。對于此類軟件，在實際應用過程中因為環境的不同都多多少少會有一些“水土不服”，這時良好的售后服務會給IT人員減輕很大的“心理”負擔。而且IT人員要多給軟件公司一些信心，一些比較少見的問題要給予足夠的時間進行解決，畢竟此類軟件與系統底層接觸的比較多，可能出現的問題也會比較多。

再次，購買前一定要進行一段時間的真實環境測試，一般的軟件商都會提供試用版，一定要進行充分的試驗，尤其是要注意，自己公司使用的工作軟件是否全部與該公司軟件兼容，如有個別不兼容，軟件公司是否有能力進行相應的升級開發予以解決。

本文的案例企業在選擇軟件時也進行了長時間的測試，并且選擇了一家研發實力較強、售后服務較好的企業，購買了該公司5.0版本的透明加密產品，期間雖然也出現過多次問題，但軟件公司都及時解決了。

第7篇

關鍵詞：中小企業；信息安全；防火墻；VPN

1背景目前

我國很多中小企業都開始廣泛使用信息化手段提升自身的競爭力，借助信息化，企業可以更有效地管理資源，優化組合，提高企業運營效率，幫助企業更快的了解市場行情，促進企業發展。但與此同時信息安全問題也日益突出，每年企業因信息系統的安全問題而遭受經濟損失難以估量。本文針對太倉中小企業網絡信息安全現狀進行深入調研，走訪企業了解企業網絡信息安全的配置情況，可能存在的問題，然后根據現有的網絡安全技術和手段幫助企業解決問題，以滿足企業需求、投入資金少、專業技術管理人員投入少為需求給出解決策略，避免因信息安全問題造成的經濟損失。

2中小企業網絡信息安全現狀研究

經調研分析，目前中小企業大致可以分為兩類，一類是國內企業，一類是外企也就是總部在國外，國內有分公司或者工廠。總的來說，所有的中小企業都有自己的計算機網絡、典型應用系統如辦公自動化系統、信息查詢系統、web應用、郵件服務、財務和人事系統等。根據中小企業計算機網絡應用特點，一般需要保證數據具有實時性、機密性、安全性、完整性、可用性和不可抵賴性。太倉中小企業眾多，光德資企業就有200多家。企業的產品信息、業務數據、銷售訂單都需要利用信息化系統進行處理，有的甚至需要大數據平臺分析處理，那么信息系統的安全性也是尤為突出的一個問題。對太倉中小企業而言，構建一個安全、可靠的IT系統是關系到企業能否適合時代新技術，健康良好快速發展的關鍵因素之一。太倉眾多外企總部都在國外，因此總公司和分公司之間需要經常傳輸大量的數據，其中包括很多重要甚至機密的數據，對于數據傳輸的保密性、完整性要求更高。針對這些特點目前中小型企業網絡存在的主要安全問題有：

1)弱口令造成信息泄露威脅目前中小企業使用的各類系統較多，包括郵件、ERP、內部OA系統、電子商務系統等。面對眾多的系統，員工要設置各類密碼，非常麻煩，所以基本都會設置簡單的便于記憶的弱口令，而且很多系統都設置相同的密碼，長期不對密碼進行更改，這樣就很容易造成密碼泄露，一旦成功入侵企業內部網絡，就很容易竊取到密碼非法進入系統獲取資料。

2)網絡病毒威脅中小型企業員工一般都是單獨使用計算機，并且所有計算機都可以訪問互聯網，員工根據自己的情況自行安裝防病毒系統，由于員工對病毒預防知識和防病毒軟件的使用方法掌握情況不同，如果不能正確安裝使用防病毒軟件，一臺計算機感染病毒很快就傳播到企業內部的多臺計算機，甚至導致企業內部網絡癱瘓。

3)企業主干網絡沒有劃分VLAN中小型企業網絡系統中，由于網絡規模小，沒有專業網絡設計維護人員，為了省事和方便，很多企業的系統沒有劃分VLAN或者沒有按要求細化，造成同一廣播域中計算機數量過多，容易造成廣播風暴和網絡帶寬嚴重浪費。

4)無線網絡密碼泄露無線網絡的方便快捷使得它在企業中的應用快速發展起來，一般企業公司都在工作區域安裝無線路由器等無線設備，方便公司員工及外來人員進入公司內部網絡或者互聯網。但由于無線密碼設置簡單，很容易被破譯。互聯網上的攻擊者可以通過破譯無線密碼，輕松進入到公司內部網絡，從而造成公司信息泄露。

5)移動終端安全隱患隨著3G時代的到來，公司企業員工使用移動設備連接公司網絡，因此由移動終端設備帶來的安全隱患也不可避免。對于企業IT部門而言，移動設備已成為網絡安全的一個致命弱點，因為通過電子郵件、彩信、藍牙等方式傳播的病毒很容易對企業內網安全造成危害。

3中小企業網絡信息安全解決策略研究

中小企業對信息安全的需求主要是保障公司網站穩定運行、避免商業機密被竊取、企業信息被惡意篡改，因此網絡安全解決方案的可用性是中小企業首要考慮的問題，只有網絡安全設備正常可用，才能保護企業網絡安全。其次，中小企業規模小，資金不足，網絡安全管理人才缺乏，安全解決方案的易用性也是企業必須考慮的因素，使用簡單有效的方法提高企業網絡安全，減少企業在資金、專業管理人才的投入同時又能保障公司網絡信息安全。移動互聯、大數據、云計算環境下，針對企業各類服務和后臺系統建議找專業網絡公司托管，這類公司有專業的網關、防火墻、入侵檢測系統，能夠為企業各類服務提供安全保障，這樣中小企業也無需在花大量的資金自己購買這類安全設備、專業人員培訓等，大大減輕了公司服務器管理和維護壓力。針對目前存在的安全問題，給出以下安全策略：

1)加強企業員工網絡安全管理中小企業所有的系統口令包括員工設置登陸口令必須按照操作系統密碼復雜性要求設置，至少8位字符，其中要包括字母大寫、小寫、數字、特殊符號中三種情況以上，由企業系統管理員或者網絡管理員設置密碼失效時間，規定在一定時間內必須更新密碼，用簡單切實可行的方法建立第一道安全大門。

2)加強企業網絡入侵防范中小企業可以利用防火墻加強企業網絡入侵防范，實現企業內外網隔離，主要設置網絡邊界出口鏈路帶寬要求、數量等情況，IP地址規劃對防火墻地址轉換的需求。通過防火墻的認證機制，過濾訪問網絡數據。通過防火墻權限設置，嚴格審核外網用戶的非法登錄，定期查看防火墻日志文件，對有攻擊性的網絡訪問行為進行警告。

3)VPN策略一般公司都需要連接互聯網，特別是針對太倉德資外企來說與德國總部公司通信安全性是非常重要的，可以采用SSLVPN策略。SSLVPN使用瀏覽器內建的安全通道封包處理功能，用瀏覽器連回公司內部SSLVPN服務器，然后透過網絡封包轉向的方式，讓使用者可以在遠程計算機執行應用程序，讀取公司內部服務器數據。中小企業的遠程訪問環境變化較大，SSLVPN不需要安裝客戶端軟件遠程用戶，遠程用戶只需借助標準的瀏覽器連接Internet，即可訪問企業的網絡資源。企業可在較短時間內部署完SSLVPN，因此其部署和實施成本較低，其次SSLVPN還提高了平臺的靈活性方便擴展應用和增強性能，對中小企業而言可以降低使用成本，最有效地保護投資。

4)無線網絡安全策略對于中小企業，建議選擇比較有安全保證的產品來部署網絡和設置適合的網絡結構是確保網絡安全的前提條件，同時還要做到如下幾點：修改設備的默認值，指定專用于無線網絡的IP協議；在AP上使用速度最快的、能夠支持的安全功能。在網絡上，針對全部用戶使用一致的授權規則，在不會被輕易損壞的位置部署硬件。正確全面使用WEP機制來實現保密目標與共享密鑰認證功能，通過在每幀中加入一個校驗和的做法來保證數據的完整性，防止有的攻擊在數據流中插入已知文本來試圖破解密鑰流。其次必須在每個客戶端和每個AP上實現WEP才能起作用，不使用預先定義的WEP密鑰，避免使用缺省選項。密鑰由用戶來設定，并且能夠經常更改，最后要使用最堅固的WEP版本，并與標準的最新更新版本保持同步。

5)移動終端安全策略為了避免移動終端攜帶病毒連接到企業內網中，確保移動終端如智能手機、ipad、移動筆記本安裝殺毒軟件、防火墻并定期對移動設備進行系統漏洞補丁和更新，定期掃描殺毒，特別不要隨意打開、下載不確定的郵件、鏈接和彩信，以免中木馬病毒。如果一旦中毒，應該立刻斷網，進行殺毒或者更新系統，以免木馬病毒通過無線網絡傳播企業內部網絡。

4結束語

通過深入太倉中小企業調研，了解企業的網絡信息安全現狀及存在問題，結合網絡信息安全建設方案，從物理安全、計算機硬件軟件安全、網絡體系結構安全、病毒防范、入侵檢查、防火墻配置、信息系統運行維護等方面給出切實可行的網絡信息安全建設方案，有針對性對太倉中小企業網絡信息安全建設策略研究。參考文獻：[1]馮運仿.基于防水墻系統的中小企業信息安全策略[J].安防科技,2006(9):57-58.

[2]周偉.電子商務信息安全技術淺議[J].農業網絡信息,2007(4):95-96.

[3]項菲,林山.中小企業信息安全策略研究[J].電腦知識與技術,2009(5):325-326.

[4]趙向梅,杜曉春,侯亞玲.中小企業網絡安全問題和策略研究[J].電子測試,2014(6):134-135.

[5]邵琳,劉源.淺談企業網絡安全問題及其對策[J].科技傳播,2010(10)：207-208.

[6]王鋒.關于企業網絡安全問題的探討[J].電腦知識與技術,2010(19):207-208.

[7]劉建偉.企業網絡安全問題探討[J].甘肅科技,2006(5):62-63.

第8篇

【關鍵詞】 企業 客戶檔案 信息 安全 管理

中小企業ERP管理系統貫穿企業生產管理的全過程，其中客戶關系管理是其重要的組成部分，其中存在著大量的客戶檔案信息，是企業重要的戰略資源。

客戶檔案信息指的是存在于企業客戶關系管理系統中以數據資料的形式存在的信息。它是企業在與客戶的業務中形成的專門數據，企業在這些數據的基礎上，整合客戶的資料和數據最后形成了客戶檔案信息。企業客戶檔案信息不僅記錄了客戶的基本信息，也記錄了一些對客戶信息進行綜合分析的數據結果，是企業相當重要的信息資源。

1 ERP管理系統客戶檔案信息管理的重要意義

為進一步加強企業信息化建設，提升企業信息化建設水平和依靠信息化加強企業的決策及管理能力，一般企業都部署實施ERP管理系統，雖然目前各ERP管理系統形態萬千，但其基本功能都趨于一致，基本上都覆蓋了客戶、項目、庫存和采購供應等管理工作，貫穿企業的進銷存全過程，通過優化企業資源達到資源效益最大化。

客戶檔案信息不僅是企業重要的經營資源，其本身也是客戶重要的個人信息，具有一定的社會屬性，它的安全管理同時具有重要的社會責任。由于企業員工個人素質、企業歸屬感的不同，其對于信息的保密意識也存在很大的差異。同時由于系統設計、應用以及管理等各方面的因素，系統中客戶檔案資料面臨著來自各方面的威脅，安全隱患不容忽視。

2 ERP管理系統客戶檔案信息的內容及管理流程

2.1 ERP管理系統中客戶檔案信息的內容

目前ERP管理系統中，客戶檔案信息一般主要由客戶的基本信息、經營水平、日常服務信息等模塊組成，含有多個字段。這些信息模塊和字段的原始信息維護，由不同崗位人員完成，對應的崗位人員對檔案信息有錄入、修改和查詢等權限。

2.2 ERP管理系統中客戶檔案信息的管理流程

2.2.1 客戶檔案信息的獲取

客戶檔案信息一般采用業務過程中的采集，或者由客戶提供的一些相關材料等方式獲取，然后統一錄入到ERP管理系統的CRM系統中。

客戶檔案從采集到錄入，嚴格按照流程進行管理，層層審核，步步完善。在流程管理過程中不斷完善客戶在CRM管理系統中的檔案信息。

2.2.2 客戶檔案信息變更

客戶檔案信息的變更，一般都通過現場實地考察來確定。在客戶信息變更過程中，企業的客戶關系管理人員有著很大的變更權限，經過嚴格把關審核后，最終實現客戶檔案的信息變更。

3 ERP管理系統客戶檔案信息的安全隱患

ERP管理系統的數據主要有丟失和泄露等方面的安全隱患。ERP管理系統的數據安全，是指存在于系統內的客戶檔案信息存儲載體處于良好的保管狀態，在一定范圍內被知曉，并可隨時還原、處理、復制出載體中所包含的客戶檔案的信息內容用于企業經營業務，但不能被隨意泄露，導致客戶檔案信息的公開，從而為不法人員利用，形成對客戶的危害。客戶檔案信息的安全問題涉及許多方面，存儲這些數據的載體的多樣性加上利用的多樣性，以及人員管理的復雜性，使得客戶檔案信息要面對許多的問題。總結起來，影響客戶檔案信息安全的因素包括以下幾點：

3.1 客觀方面存在的隱患

3.1.1 計算機網絡病毒的入侵

隨著計算機網絡的不斷發展，網絡病毒層出不窮，變化多端，防不勝防。客戶檔案信息的采集、錄入、整理等，都依賴于計算機處理，以至計算機硬盤上存儲了大量的數據信息，所以必須防御計算機網絡病毒的入侵和破壞。此外，在進行客戶檔案信息維護的時候，無論聯網還是不聯網，外接存儲介質仍可能將病毒植入而破壞系統的重要數據，從而造成巨大的損失。

3.1.2 應用系統的設計缺陷

應用系統不可能是完美無缺的，一般的應用系統都會存在設計缺陷。目前，客戶檔案信息的錄入、維護和變更等都依賴于CRM管理系統，系統本身設計的缺陷將對數據本身造成一定的威脅。由于系統的架構很難有統一的標準和普遍適用性，以及技術原因和使用領域不同，在技術設計上肯定存在不一致現象，用不同的字段抽取，獲取的數據也存在差異。這些系統設計存在的缺陷，給客戶檔案信息的安全埋下一定的隱患。

3.1.3 人員素質的參差不齊

由于員工的受教育程度不同，文化層次存在差距，以至于員工的綜合素質參差不齊。相關人員對系統的應用水平和領會能力也存在差異，同時由于人員管理的復雜性，內部人員的信息泄露成為客戶檔案信息安全管理重點考慮的內容之一。

3.2 主觀應用方面存在的隱患

3.2.1 數據利用監管不夠

（1）客戶檔案信息查詢權限的限制機制不健全。企業相關人員可以隨意在系統中查詢客戶資料，并能獲取電子版本，隨意復制，無關人員接觸這些信息無人監管。

（2）客戶檔案信息的查詢、調用審批程序不完善。目前，多數企業對客戶檔案信息的查詢、調用無審批和監管流程，相關人員如有需要，只要獲取相應的角色權限即可，缺少數據查詢、調用的審批手續。

3.2.2 流程管理監管缺失

（1）在客戶信息新增過程中，無論是信息錄入人員還是信息審核人員，都能看到錄入的原始信息，每個環節都有可能造成信息的泄漏。所以加強每個環節、每個節點的監管和保密管理對于信息的安全也是至關重要的。不但要小心外部人員有目的的竊取和盜用，還要防止內部人員的有意識或無意識的信息泄漏。

（2）客戶檔案信息的變更過程中，審核流程一般都不完善，缺少監管流程。操作人員操作失誤或者有意無意泄露客戶信息，都會給客戶檔案信息的安全帶來很大威脅。

4 ERP管理系統客戶檔案信息的管理措施

針對ERP管理系統客戶檔案信息的管理流程和安全隱患，應采取相應的管理措施，來加強對客戶檔案信息的安全管理。具體為：

（1）加強計算機網絡安全管理。采取部署殺毒軟件和管理策略等相應的技術和管理措施，確保整體網絡環境的安全，避免網絡病毒的侵擾。

（2）嚴格管理客戶檔案信息的存儲載體。加強對存儲載體的管理尤為重要。要定期檢測存儲設備，檢測存儲載體上的數據有效性，確保這些載體不受到損壞，在出現意外情況時這些載體的信息能夠被完全、真實的還原出來。

（3）做好客戶檔案信息的基礎數據庫建設。客戶檔案信息基礎數據庫建設，必須提前設定各項數據采集項，整個管理環節要采用適用的軟件。在具體日常數據的維護和采集中，注意客戶檔案信息的保管和整合。對于不斷增加和更新的基礎數據庫中的數據要及時進行備份，并保證備份資料的有效性。

（4）加強科技創新，不斷完善系統功能及設計架構。根據應用過程中發現的問題和缺陷，及時升級系統版本，整改設計缺陷，完善系統功能。相關人員在修改完善客戶檔案信息時，做到修改有痕跡，完善有記錄。其他人員只能查詢瀏覽信息，不能修改不能復制，并且有網絡訪問流量的統計記錄。

（5）加強數據利用監管，提高數據利用的規范性和安全性。 1）建立有效的客戶檔案信息的管理規章制度，提高數據安全管理。客戶檔案信息的管理必須依據嚴格的規章制度，確保檢查、督促、獎懲等措施的落實。客戶檔案管理人員的數據安全意識尤為重要，提高這些人的數據安全意識，加強防范措施是最重要的。確保人員具備了安全意識才能從根本上杜絕威脅數據安全的隱患。2）嚴格控制客戶檔案信息的知曉范圍以及查詢權限。客戶檔案信息的知曉人員及其查詢權限應該有嚴格的限制，尤其是那些重要的信息必須嚴格控制知曉范圍。做到無關人員不得接觸客戶檔案信息，不得查詢，不得復制。3）嚴格管理客戶檔案資料的查閱、調用等環節。客戶檔案信息的利用都應按照相應的規定做好各種登記、審批工作，對于重要的客戶信息的查閱還應注明查閱人身份、查詢用途等。做到重要數據信息在辦理審批手續之后方可進行調用。內部工作人員要本著不擴大知悉范圍和安全利用的原則。這些利用環節的管理要有專人負責，做好監督、監管工作。

（6）強化流程管理監管，完善流程管理的審批流程和監管措施。1）提高相關人員的安全意識，做好賬號和口令的保密工作。避免對外泄露自己的賬號、密碼，造成客戶資料外泄，誰泄露誰負責。定期進行系統賬戶進行梳理，對不再涉及業務系統使用的人員賬號予以收回禁用。2）規范使用人員的操作權限分配，不同崗位分配不同的角色，對應不同的操作權限。嚴格規范權限分配，做到角色一致、權責統一。

（7）加強系統管理人員的安全保密管理。系統管理人員擁有超級管理權限，可以查詢任何信息，是系統的維護和技術支撐者。系統管理人員的安全保密工作是最重要的。

第9篇

【關鍵詞】 信息安全 防范策略

隨著社會、經濟和科學技術的飛速發展，計算機網絡在經濟和生活的各個領域迅速普及。院校本身為了提高管理和服務水平，在各個學院和后勤管理部門都依靠IT技術構建自身的信息基礎架構和業務系統應用平臺。

院校局域網環境下，印刷企業獲得了信息共享、信息交流、信息服務，提高了服務水平、增強了核心競爭力。但網絡環境的開放性、共享性、交互性，也造成了印刷企業信息平臺的脆弱性，一旦網絡遭到攻擊，科研信息泄密、試卷信息泄露，甚至被人篡改，會給院校帶來重大損失。因而，信息安全問題對院校印刷企業來講是非常重要的。

信息安全就是防止非法的攻擊和病毒的傳播，保證計算機系統和通信系統的正常運作，保證信息不被非法訪問和篡改。

信息安全的根本目的就是使內部信息不受外部威脅，因此信息通常要加密。為保障信息安全，要求有信息源認證、訪問控制，不能有非法軟件駐留，不能有非法操作。

針對院校局域網環境下印刷企業信息平臺容易發生的安全隱患，完善對應防范策略，最大限度地保障院校印刷企業信息安全。

一般來講，安全問題來自內部和外部兩個方向，而內部又分為誤操作和破壞兩個動機.筆者所在印刷企業主要面對的信息安全問題主要有以下幾個方面：

1 物理安全

物理安全是指在物理介質層次上對存儲和傳輸的網絡信息的安全保護。對于計算機網絡設備、設施等等免于遭受自然或人為的破壞。主要有環境安全（即自然環境對計算機網絡設備與設施的影響）；設備安全則是指防止設備被盜竊、毀壞、電磁輻射、電磁干擾、竊聽等；媒體安全，保證媒體本身以及媒體所載數據的安全性。

為了保障信息平臺能夠高效的運行，防止或者減少機房受到自然災害、物理損壞、設備故障等不安全因素的影響， 以保障基本的溫度、濕度、電力以及機房隱蔽性等.在機房選址或者是樓宇建設階段，需要充分考慮機房建設的物理安全問題.因為在一般情況下，物理上的破壞將銷毀網絡信息本身，這種不安全因素對網絡信息的完整性和可用性威脅最大，而對網絡信息的保密性影響卻較小。

2 數據及存儲安全

數據備份是指將計算機系統中的一部分數據通過適當的形式轉錄到可脫機保存的介質（如移動硬盤、U盤和光盤）上，制定應急處理計劃，做好數據的備份和恢復，完善的數據備份應該是動態、多重備份.這樣才能保證操作系統遭到破壞后能夠迅速恢復這些數據庫的使用。

由于院校印刷企業工作的特殊性，對于重要信息數據， 要在數據的存儲、處理、傳輸、銷毀等階段，分別做好對應的數據安全的保護工作.對于重要數據要進行加密處理，對于不可復制的存儲介質應該存放在能防火、防盜的庫房中妥善保存。對于敏感數據的刪除或銷毀，要通過消除剩磁的技術，做到不可恢復，防止被恢復而泄漏信息；數據傳輸方面，要使用加密與認證密碼傳輸數據；不使用未進行數據加密的移動存儲設備，防止數據外泄。

3 網絡安全及病毒防控

在基礎架構的網絡規劃設計階段，網絡拓撲設計非常重要.由于院校信息網中存在中國教育網、公用互聯網、院校內部辦公網、校內服務網等多網絡共存的環境.在多層網絡設計、子網設計以及網絡的安全性、可靠性方面存在許多要求。

充分考慮物理拓撲結構與邏輯拓撲結構的關系，在使用網絡設備進行技術性實施時，加強控制通信方向，以減少病毒的傳播和黑客的攻擊，保證網絡系統安全，并關注網絡及其設備的運行情況，注意設備的維護和升級。

統一部署完整病毒防御體系，注意網絡傳輸入口與終端設備數據入口相結合，設置隔離區來防止病毒的入侵。同時建立病毒防控服務中心將硬件病毒庫與軟件病毒數據庫的更新同步，用防病毒軟硬件來防止來自互聯網病毒進入內部，采用防毒與殺毒相結合，在病毒可能流傳的各個渠道設置監控，結合定時病毒掃描和自動更新，查殺病毒，保證系統安全。

4 業務平臺安全

在很多情況下，業務信息系統是安裝部署在操作系統基礎上， 如果操作系統安全受到影響，也就失去了業務平臺安全運行的基礎。對操作系統進行安全補丁更新，并進行測試工作是至關重要的，通過專業軟件進行操作系統底層的安全測試工作，將各種可能存在的木馬程序、蠕蟲、惡意代碼、間諜軟件的侵入安全漏洞進行安全防護，防止給企業信息基礎設施、內部網絡、企業業務帶來損失.

結合業務平臺下硬軟件、數據和網絡等方面實際情況，在提高工作人員的保密觀念、責任心和安全意識，加強業務技術培訓，防止人為事故發生的同時， 通過技術手段，在自主訪問控制、強制訪問控制、身份鑒別等方面進行設置，主要特征有：最小特權原則，即每個特權用戶只擁有能進行他工作的權力；自主訪問控制；強制訪問控制，包括保密性訪問控制和完整性訪問控制；安全審計。

5 結語

隨著信息技術的飛速發展，信息已經成為一種非常重要的戰略資源，其影響企業安全的各種因素也會不斷變化強化，因此信息安全問題也越來越受到人們的重視，以上我們簡要的分析了院校印刷企業存在的幾種安全隱患。

總的來說，信息安全不僅僅是技術問題，因為信息安全研究的各個領域之間不是割裂的，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標、技術方案和相關的配套法規等。其防護技術也必然隨著信息系統應用的發展而不斷進步。

致謝：

首先，我要向市信息中心的孫勇先生，感謝他為我提供了很多技術資料。我還要衷心地感謝校信息中心的老師們，感謝他們為本文提出了許多寶貴的意見.最后，我還要向我的領導和同事們表示感謝，感謝他們長期以來的支持和幫助。再次向以上所有人表示感謝。

參考文獻：

[1]陳福莉，譚興烈.信息安全管理平臺及其應用[J].信息安全與通信保密，2006（12）.

[2]鄭林信息資產的風險管理[J].中國計算機用戶，2004（26）.

[3]王丁，楊德華.CZC交易信任管理機制探討[J].電腦開發與應用，2004（03）.

[4]國務院信息辦.中國信息化發展報告[EB/OL].2006.